La course aux données personnelles

L’explosion des nouvelles technologies s’est accompagnée d’un développement tout aussi important des données personnelles.

Celles-ci sont générées par les différents appareils électroniques que nous utilisons aux quotidiens, qu’ils soient ou non connectés.

Les récentes révélations relatives au programme de surveillance de masse de la National Security Agency (NSA) ont permis de mettre en lumière la vulnérabilité de ces données, ainsi que l’importance qu’elles revêtent pour les administrations, mais aussi pour les sociétés marchandes.

Les démarches se sont ainsi multipliées afin de dénoncer les dérives en la matière.

Après la procédure devant la Cour de Justice de l’Union Européenne ayant conduit à l’invalidation de l’accord sur le « Safe Harbor », c’est au tour du conseil norvégien de protection des consommateurs, le Forbrukerradet, de publier des rapports accablants.

Ainsi, le Forbrukerradet a lancé une campagne sous le nom de « #APPFAIL » afin d’alerter le public sur les dangers que représentent certaines applications pour la protection de la vie privée.

Le 10 mai 2016, une plainte a été déposée auprès de l’autorité norvégienne de protection des données. Celle-ci vise une application dédiée à la course à pieds.

Le Forbrukerradet y pointe notamment deux problèmes majeurs :

  • L’application continue de géolocaliser les utilisateurs et de transmettre ces données à des tiers alors même que l’application n’est pas utilisée ;
  • Aucun mécanisme de suppression des données des utilisateurs ne semble prévu, que ce soit de manière automatique ou à la demande de l’utilisateur.

Cela constitue deux violations de la Directive européenne sur la protection des données.

Suite à la publication de la plainte, une nouvelle version de l’application a été mise en ligne, sans transmission des données à des tiers.

Cela ne règle pas pour autant les autres questions soulevées dans l’enquête norvégienne.

Si les données personnelles sont nécessaires pour le fonctionnement de l’application, tout usage excédant les finalités attendues par l’utilisateur doit être proscrit ou, à tout le moins, faire l’objet d’une information claire et complète.

Le consentement doit pouvoir être retiré.

Or beaucoup d’applications ne respectent pas ces obligations.

La question est encore plus délicate pour les données purement techniques que sont les métadonnées des smartphones.

Si, prises de manière individuelles, elles ne permettent pas d’identifier l’utilisateur du smartphone, une récente étude de l’université de STANFORD a montré que leur regroupement et leur recoupement avec d’autres sources telles que les réseaux sociaux constituait un véritable gisement de données personnelles.

Si l’utilisation des matériels connectés génère nécessairement des données personnelles, la question qui se pose est celle des moyens permettant d’en assurer une protection suffisante.

Du point de vue de l’utilisateur, cela passe par le paramétrage de son matériel.

Du point de vue de la réglementation, la récente réforme du droit européen devrait permettre d’accroître l’efficacité des mesures existantes.

 

Amandine QUENTON